Partager via

Un ou plusieurs objets ne sont pas synchronisés lors de l’utilisation de l’outil de synchronisation Azure Active Directory

Cet article résout un problème selon lequel un ou plusieurs attributs d’objet SERVICES DE DOMAINE ACTIVE DIRECTORY (AD DS) ne sont pas synchronisés avec l’ID Microsoft Entra via l’outil Azure Active Directory Sync.

Version du produit d’origine : Services cloud (rôles web/de travail), Microsoft Entra ID, Microsoft Intune, Sauvegarde Azure, Gestion des identités Office 365
Numéro de base de connaissances d’origine : 2643629

Note

Cet article vous a-t-il été utile ? Votre avis est important à nos yeux. Utilisez le bouton Commentaires sur cette page pour nous faire savoir dans quelle mesure cet article vous a été utile ou comment nous pouvons l’améliorer.

Symptômes

Un ou plusieurs objets ou attributs AD DS ne sont pas synchronisés avec l’ID Microsoft Entra comme prévu. Lorsque la synchronisation Active Directory s’exécute, un objet ne se synchronise pas et vous rencontrez l’un des symptômes suivants :

  • Vous recevez un message d’erreur indiquant qu’un attribut a une valeur en double.
  • Vous recevez un message d’erreur indiquant qu’un ou plusieurs attributs ne respectent pas les exigences de mise en forme telles que le jeu de caractères ou la longueur des caractères.
  • Vous ne recevez pas de message d’erreur et la synchronisation d’annuaires semble être terminée. Toutefois, certains objets ou attributs ne sont pas mis à jour comme prévu.

Voici quelques exemples de message d’erreur que vous pouvez recevoir :

Un objet synchronisé avec la même adresse proxy existe déjà dans votre annuaire Microsoft Online Services.

Impossible de mettre à jour cet objet, car l’ID utilisateur est introuvable.

Impossible de mettre à jour cet objet dans Microsoft Online Services, car les attributs suivants associés à cet objet ont des valeurs qui peuvent déjà être associées à un autre objet dans votre répertoire local.

Cause

Ce problème se produit pour l’une des raisons suivantes :

  • La valeur de domaine utilisée par les attributs AD DS n’a pas été vérifiée.

  • Un ou plusieurs attributs d’objet qui nécessitent une valeur unique ont une valeur d’attribut en double (par exemple, l’attribut proxyAddresses ou l’attribut U serPrincipalName) dans un compte d’utilisateur existant.

  • Un ou plusieurs attributs d’objet ne respectent pas les exigences de mise en forme qui limitent les caractères et la longueur des valeurs d’attribut.

  • Un ou plusieurs attributs d’objet correspondent à des règles d’exclusion pour la synchronisation d’annuaires.

    Le tableau suivant présente les règles d’étendue de synchronisation par défaut :

    Type d’objet Nom de l’attribut Condition d’attribut lors de l’échec de la synchronisation
    Contact DisplayName Contient « MSOL »
    msExchHideFromAddressLists Est défini sur « True »
    Groupe avec sécurité isCriticalSystemObject Est défini sur « True »
    Groupes avec extension messagerie
    (groupe de sécurité ou liste de distribution)    		 proxyAddresses

    et

    mail    		 N’a pas d’entrée d’adresse « SMTP : »

    et

    n’est pas présent
    Contacts avec extension messagerie proxyAddresses

    et

    mail    		 N’a pas d’entrée d’adresse « SMTP : »

    et

    n’est pas présent
    iNetOrgPerson sAMAccountName N’est pas présent
    isCriticalSystemObject Est présent
    Utilisateur mailNickName Commence par « SystemMailbox »
    mailNickName Commence par « CAS_ »

    et

    contient « } »
    sAMAccountName Commence par « CAS_ »

    et

    contient « } »
    sAMAccountName Est égal à « SUPPORT_388945a0 »
    sAMAccountName Est égal à « MSOL_AD_Sync »
    sAMAccountName N’est pas présent
    isCriticalSystemObject Est défini sur « True »

  • Le nom d’utilisateur principal (UPN) a été modifié après la synchronisation initiale et doit être mis à jour manuellement.

  • Les adresses SMTP (Simple Mail Transfer Protocol) Exchange Online des utilisateurs synchronisés ne sont pas renseignées correctement dans le schéma Active Directory local.

Résolution

Pour résoudre ce problème, utilisez l’une des méthodes suivantes, en fonction de votre situation.

Exécuter IdFix pour rechercher les doublons, les attributs manquants et les violations de règles

Utilisez l’outil de correction des erreurs DirSync IdFix pour rechercher des objets et des erreurs qui empêchent la synchronisation avec l’ID Microsoft Entra.

  • Si vous voyez « Vide » dans la colonne ERROR après avoir exécuté IdFix, l’attribut displayName de l’objet n’est pas défini. Pour résoudre ce problème, spécifiez une valeur pour l’attribut displayName de l’objet en procédant comme suit :
  1. Dans la colonne UPDATE de l’objet, tapez le nom de son attribut displayName.
  2. Dans la colonne ACTION, cliquez sur MODIFIER, puis sur Appliquer.
  3. Répétez les étapes 1 et 2 pour chaque objet qui a une entrée « vide » dans la colonne ERROR.
  4. Réexécutez IdFix pour rechercher d’autres erreurs d’objet.
  • Si vous voyez « Dupliquer » dans la colonne ERROR après avoir exécuté IdFix, deux objets ou plus ont la même adresse e-mail. Pour résoudre ce problème, spécifiez une adresse e-mail unique pour l’objet en procédant comme suit :
  1. Dans la colonne UPDATE de l’objet, tapez une adresse e-mail qui n’est pas déjà utilisée.
  2. Dans la colonne ACTION, cliquez sur MODIFIER, puis sur Appliquer.
  3. Réexécutez IdFix pour rechercher d’autres erreurs d’objet.

Déterminer les conflits d’attributs causés par les objets qui n’ont pas été créés dans Microsoft Entra ID par le biais de la synchronisation d’annuaires

Pour déterminer les conflits d’attributs causés par les objets utilisateur créés à l’aide d’outils de gestion (et qui n’ont pas été créés dans Microsoft Entra ID via la synchronisation d’annuaires), procédez comme suit :

  1. Déterminez les attributs uniques du compte d’utilisateur AD DS local. Pour ce faire, sur un ordinateur sur lequel les outils de support Windows sont installés, procédez comme suit :

    1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez ldp.exe, puis sélectionnez OK.

    2. Sélectionnez Connexion, sélectionnez Se connecter, tapez le nom d’ordinateur d’un contrôleur de domaine AD DS, puis sélectionnez OK.

    3. Sélectionnez Connexion, sélectionnez Lier, puis OK.

    4. Sélectionnez Affichage, sélectionnez Arborescence, sélectionnez le domaine AD DS dans la liste déroulante BaseDN , puis sélectionnez OK.

    5. Dans le volet de navigation, recherchez et double-cliquez sur l’objet qui n’est pas synchronisé correctement. Le volet Détails sur le côté droit de la fenêtre répertorie tous les attributs d’objet. L’exemple suivant montre les attributs d’objet :

      Capture d’écran du volet de navigation et de détails des outils de support Windows qui répertorient tous les attributs d’objet.

    6. Enregistrez les valeurs de l’attribut userPrincipalName et de chaque adresse SMTP dans l’attribut proxyAddresses multivalue. Vous aurez besoin de ces valeurs par la suite.

      Nom de l’attribut Exemple Notes
      proxyAddresses proxyAddresses (3) : x500 :/o=Exchange/ou=Groupe d’administration Exchange (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376 ; smtp :7628376@service.contoso.com; SMTP :7628376@contoso.com;
      1. Le nombre affiché entre parenthèses en regard de l’étiquette d’attribut indique le nombre de valeurs d’adresse proxy dans l’attribut multivalue.

      2. Chaque valeur d’adresse proxy distincte est indiquée par un point-virgule (;).

      3. La valeur d’adresse proxy SMTP principale est indiquée par « SMTP : » majuscules
      userPrincipalName 7628376@contoso.com

      Note

      Ldp.exe est inclus dans Windows Server 2008 et dans les outils de support Windows Server 2003. Les outils de support Windows Server 2003 sont inclus dans le support d’installation de Windows Server 2003. Ou, pour obtenir les outils de support, accédez au site web Microsoft suivant : Outils de support Windows Server 2003 Service Pack 2 32 bits

  2. Connectez-vous à Microsoft Entra ID à l’aide du module Azure Active Directory pour Windows PowerShell. Pour plus d’informations, accédez à Gérer l’ID Microsoft Entra à l’aide de Windows PowerShell.

    Laissez la fenêtre de console ouverte. Vous devez l’utiliser à l’étape suivante.

  3. Recherchez les attributs userPrincipalName dupliqués.

    Dans la connexion de console que vous avez ouverte à l’étape 2, tapez les commandes suivantes dans l’ordre dans lequel elles sont présentées. Appuyez sur Entrée après chaque commande :

    $userUPN = "<search UPN>"

    Note

    Dans cette commande, l’espace réservé «< search UPN> » représente l’attribut UserPrincipalName que vous avez enregistré à l’étape 1f.

    Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Note

    Les modules Azure AD et MSOnline PowerShell sont dépréciés depuis le 30 mars 2024. Pour en savoir plus, lisez les informations de dépréciation. Passé cette date, la prise en charge de ces modules est limitée à une assistance de migration vers le SDK et les correctifs de sécurité Microsoft Graph PowerShell. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

    Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour explorer les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Remarque : Les versions 1.0.x de MSOnline peuvent connaître une interruption après le 30 juin 2024.

    Laissez la fenêtre de console ouverte. Vous l’utiliserez à nouveau à l’étape suivante.

  4. Recherchez les attributs proxyAddresses dupliqués. Dans la connexion de console que vous avez ouverte à l’étape 2, exécutez la commande suivante :

    Import-Module ExchangeOnlineManagement

  5. Pour chaque entrée d’adresse proxy que vous avez enregistrée à l’étape 1f, tapez les commandes suivantes dans l’ordre dans lequel elles sont présentées. Appuyez sur Entrée après chaque commande :

    $proxyAddress = "<search proxyAddress>"

    Note

    Dans cette commande, l’espace réservé «< search proxyAddress » représente la valeur d’un attribut proxyAddresses> que vous avez enregistré à l’étape 1f.

    Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}

Les éléments retournés après avoir exécuté les commandes de l’étape 3 et 4 représentent les objets utilisateur qui n’ont pas été créés par le biais de la synchronisation d’annuaires et qui ont des attributs qui entrent en conflit avec l’objet qui n’est pas synchronisé correctement.

Mettre à jour les attributs AD DS pour supprimer les doublons, les violations de règles et les exclusions d’étendue

Identifiez les attributs spécifiques qui empêchent la synchronisation en fonction des informations suivantes :

  • Messages électroniques administratifs
  • Rapport de la sortie de l’outil De préparation du déploiement Office 365
  • Règles d’étendue de synchronisation d’annuaires par défaut et règles personnalisées

Une fois qu’une valeur d’attribut spécifique est identifiée, modifiez la valeur d’attribut à l’aide de l’une des méthodes suivantes :

  • Utilisez l’outil Utilisateurs et ordinateurs Active Directory pour modifier la valeur de l’attribut.
  1. Ouvrez Utilisateurs et ordinateurs Active Directory, puis sélectionnez le nœud racine du domaine AD DS.
  2. Sélectionnez Affichage, puis vérifiez que l’option Fonctionnalités avancées est sélectionnée.
  3. Dans le volet de navigation gauche, recherchez l’objet utilisateur, cliquez dessus avec le bouton droit, puis sélectionnez Propriétés.
  4. Sous l’onglet Éditeur d’objets , recherchez l’attribut souhaité. Sélectionnez Modifier, puis modifiez la valeur d’attribut sur la valeur souhaitée.
  5. Cliquez deux fois sur OK.
  • Utilisez Active Directory Service Interfaces (ADSI) Edit pour mettre à jour les attributs d’objet dans AD DS. Vous pouvez télécharger et installer ADSI Edit dans le cadre du Kit de ressources Windows Server. Pour utiliser ADSI Edit pour modifier les attributs, procédez comme suit.

Avertissement

Cette procédure nécessite ADSI Edit. L’utilisation incorrecte d’ADSI Edit peut entraîner de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut pas garantir que les problèmes résultant de l’utilisation incorrecte d’ADSI Edit peuvent être résolus. Utilisez ADSI Edit à votre propre risque.

  1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez ADSIEdit.msc, puis ok.
  2. Cliquez avec le bouton droit sur ADSI Modifier dans le volet de navigation, sélectionnez Se connecter à, puis sélectionnez OK pour charger la partition de domaine.
  3. Recherchez l’objet utilisateur, cliquez dessus avec le bouton droit, puis sélectionnez Propriétés.
  4. Dans la liste Attributs , recherchez l’attribut souhaité. Sélectionnez Modifier, puis modifiez la valeur d’attribut sur la valeur souhaitée.
  5. Sélectionnez OK deux fois, puis quittez ADSI Edit.

Créez un groupe et ajoutez-le au groupe intégré qui n’est pas synchronisé

Pour résoudre le problème dans le scénario où certains groupes intégrés (tels que le groupe Utilisateurs du domaine) ne sont pas synchronisés, créez un groupe qui contient tous les membres applicables et les autorisations appropriées du groupe intégré. Ensuite, ajoutez ce groupe en tant que membre au groupe intégré qui n’est pas synchronisé. Utilisez le nouveau groupe au lieu du groupe intégré pour gérer les membres. À l’aide de cette méthode, vous ne gérez toujours qu’un seul groupe.

Vous ne souhaitez pas modifier les attributs du groupe intégré ou modifier les règles d’étendue de l’appliance de synchronisation d’identité pour autoriser la synchronisation des objets système critiques. Il peut déclencher d’autres comportements inattendus.

Utiliser la correspondance SMTP pour provoquer la synchronisation d’un objet utilisateur local avec un objet utilisateur existant

Pour plus d’informations, consultez Comment utiliser la correspondance SMTP pour faire correspondre les comptes d’utilisateur locaux aux comptes d’utilisateur Office 365 pour la synchronisation d’annuaires.

Mettre à jour manuellement un UPN de compte d’utilisateur

Pour mettre à jour un UPN de compte d’utilisateur sous licence après la synchronisation d’annuaire initiale, procédez comme suit :

  1. Installez le module PowerShell Azure Active Directory v2. Pour plus d’informations, consultez le module PowerShell Azure Active Directory v2.

  2. Exécutez les applets de commande suivantes à l’invite PowerShell Azure Active Directory v2 :

    $cred = get-credential

    Note

    Lorsque vous y êtes invité, entrez vos informations d’identification d’administrateur.

    Connect-AzureAD

    Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]

Mettre à jour des adresses SMTP utilisateur à l’aide d’attributs Active Directory local

Lorsque les attributs SMTP ne sont pas synchronisés avec Exchange Online de manière attendue, vous devrez peut-être mettre à jour les attributs Active Directory local. Pour mettre à jour Active Directory local attributs afin que l’adresse e-mail correcte s’affiche dans Exchange Online, utilisez Resolution 2 pour manipuler les attributs dans le tableau suivant.

Nom de l’attribut Active Directory local Exemple de valeur d’attribut Active Directory locale Exemples d’adresses e-mail Exchange Online
proxyAddresses SMTP:user1@contoso.com SMTP principal : user1@contoso.com
SMTP secondaire : user1@contoso.onmicrosoft.com
proxyAddresses Smtp:user1@contoso.com SMTP principal : user1@contoso.onmicrosoft.com SMTP secondaire : user1@contoso.com
proxyAddresses SMTP:user1@contoso.com
Smtp:user1@sub.contoso.com		 SMTP principal : user1@contoso.com
SMTP secondaire : user1@sub.contoso.com
SMTP secondaire : user1@contoso.onmicrosoft.com
mail User1@contoso.com SMTP principal : user1@contoso.com
SMTP secondaire : user1@contoso.onmicrosoft.com
UserPrincipalName User1@contoso.com SMTP principal : user1@contoso.com
SMTP secondaire : user1@contoso.onmicrosoft.com

L’entrée MOERA (Microsoft Online Email Routing Address) associée au domaine par défaut (par exemple user1@contoso.onmicrosoft.com) est une valeur interprétée basée sur l’alias d’un compte d’utilisateur. Cette adresse e-mail spécialisée est intrinsèquement liée à chaque destinataire Exchange Online. Vous ne pouvez pas gérer, supprimer ou créer d’autres adresses MOERA pour n’importe quel destinataire. Toutefois, l’adresse MOERA peut être surchargé en tant qu’adresse SMTP principale à l’aide des attributs de l’objet utilisateur Active Directory local.

Note

La présence de données dans l’attribut proxyAddresses masque complètement les données de l’attribut de messagerie pour la population de l’adresse e-mail Exchange Online.

Note

La présence de données dans l’attribut proxyAddresses, l’attribut de messagerie ou les deux attributs masquent complètement les données UserPrincipalName pour la population de l’adresse e-mail Exchange Online. L’UPN peut être utilisé pour gérer les adresses e-mail. Toutefois, un administrateur peut décider de gérer l’adresse e-mail et l’UPN séparément en remplissant des attributs proxyAddresses ou de messagerie.

Nous vous recommandons vivement d’utiliser l’un de ces attributs de manière cohérente pour gérer les adresses e-mail Exchange Online pour les utilisateurs synchronisés.

Plus d’informations

Les commandes Windows PowerShell mentionnées dans cet article nécessitent le module Azure Active Directory pour Windows PowerShell. Pour plus d’informations sur le module Azure Active Directory pour Windows PowerShell, consultez l’article suivant :
Gérer l’ID Microsoft Entra à l’aide de Windows PowerShell.

Pour plus d’informations sur le filtrage de la synchronisation d’annuaires par attributs, consultez l’article wiki Microsoft TechNet suivant :
Liste des attributs synchronisés par l’outil Azure Active Directory Sync

Contactez-nous pour obtenir de l’aide

Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.